Spring Security -- 权限控制(转载)

Spring Security权限控制可以配合授权注解使用，Spring Security提供了三种不同的安全注解：

• Spring Security自带的@Secured注解；
• JSR-250的@DenyAll、@RolesAllowed、@PermitAll注解；
• 表达式驱动的注解，包括@PreAuthorize、@PostAuthorize、@PreFilter和 @PostFilter；

一、权限控制注解

1、@Secured注解

在方法上指定安全性要求，只有对应角色的用户才可以调用这些方法：

import org.springframework.security.access.annotation.Secured;
 
 
public interface UserService {
 
    List<User> findAllUsers();
 
    @Secured("ROLE_ADMIN")
    void updateUser(User user);
 
    @Secured({ "ROLE_DBA", "ROLE_ADMIN" })
    void deleteUser();
    
}

权限不足时，方法抛出Access Denied异常。@Secured注解会使用一个String数组作为参数。每个String值是一个权限，调用这个方法至少需要具备其中的一个权限。

2、@RolesAllowed

• @DenyAll拒绝所有访问；
• @RolesAllowed注解和@Secured注解在各个方面基本上都是一致的，@RolesAllowed({"ROLE_USER","ROLE_ADMIN"})该方法只要具有“ROLE_USER","ROLE_ADMIN"任意一种权限就可以访问；
• @PermitAll允许所有访问；

3、SpEL注解

要开启表达式驱动的注解，只需要在Spring Security配置文件中添加如下注解：

@EnableGlobalMethodSecurity(prePostEnabled = true)

(1)、@PreAuthorize

该注解用于方法前验证权限，比如限制非VIP用户提交blog的note字段字数不得超过1000字：

@PreAuthorize("hasRole('ROLE_ADMIN') and #form.note.length() <= 1000 or hasRole('ROLE_VIP')")
public void writeBlog(Form form){
    ...
}

表达式中的#form部分直接引用了方法中的同名参数。这使得Spring Security能够检查传入方法的参数，并将这些参数用于认证决策的制定。

(2)、@PostAuthorize

方法后调用权限验证，比如校验方法返回值：

@PreAuthorize("hasRole(ROLE_USER)")
@PostAuthorize("returnObject.user.userName == principal.username")
public User getUserById(long id){
    ...        
}

Spring Security在SpEL中提供了名为returnObject 的变量。在这里方法返回一个User对象，所以这个表达式可以直接访问user对象中的userName属性。

二、权限控制案例

1、@PreAuthorize注解使用案例

接着上一节，要开启这些注解，只需要在Spring Security配置文件中添加如下注解：

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
   ...  
}

在CustomUserDetailsService中，我们给当前登录用户授予了”admin”的权限，我们将这块代码改造一下：当登录用户为admin的时候，其拥有”admin”权限，其它用户则只有”test”权限：

@Service
public class CustomUserDetailsService implements UserDetailsService {
    /**
     * 点击登录时会调用该函数、并传入登录名  根据用户名查询数据库获取用户信息
     * @param username：登录用户名
     * @return: 返回用户信息
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //模拟一个用户 替代数据库获取逻辑
        User user = new User();
        user.setUsername(username);
        user.setPassword("123456");
        // 输出加密后的密码
        System.out.println(user.getPassword());

        List<GrantedAuthority> authorities = new ArrayList<>();
        if (StringUtils.equalsIgnoreCase("admin", username)) {
            authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("admin");
        } else {
            authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("test");
        }

        return new org.springframework.security.core.userdetails.User(user.getUsername(),
                user.getPassword(),
                user.isEnabled(),
                user.isAccountNonExpired(),
                user.isCredentialsNonExpired(),
                user.isAccountNonLocked(),
                authorities);
    }
}

在类TestController添加一个方法，并且使用权限注解标明只有拥有“admin”权限的人才能访问：

@GetMapping("/auth/admin")
@PreAuthorize("hasAuthority('admin')")
public String authenticationTest() {
    return "您拥有admin权限，可以查看";
}

启动系统，访问http://127.0.0.1:8080/index，使用admin账号登录：

访问http://127.0.0.1:8080/auth/admin：

可看到，admin可以访问该资源。

使用zy账号登录：

 

可以看到，zy没有权限访问，进入了403页面。

2、自定义权限不足处理逻辑

我们可以自定义权限不足处理逻辑。在包com.goldwind.handler下新增一个类CustomAuthenticationAccessDeniedHandler，实现AccessDeniedHandler接口：

package com.goldwind.handler;

import org.springframework.http.HttpStatus;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Service;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @Author: zy
 * @Description: 自定义权限不足处理逻辑
 * @Date: 2020/2/16
 */
@Service
public class CustomAuthenticationAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        httpServletResponse.setContentType("application/json;charset=utf-8");
        httpServletResponse.getWriter().write("很抱歉，您没有该访问权限");
    }
}

然后进行Spring Security配置: @Autowired private AccessDeniedHandler accessDeniedHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.exceptionHandling()
                .accessDeniedHandler(accessDeniedHandler)
                .and()
                ...
    }

重启系统，再次使用zy账号访问/auth/admin：

参考文章：

[1] Spring Security保护方法(转载)

[2] Spring Security权限控制(转载)